Zurück zur Startseite

Schutz von Agent-Anwendungen OWASP Top 10

Der Artikel analysiert OWASP Agentic Top 10 2026 zum Schutz von Agent-Anwendungen. Das Lethal Trifecta-Modell identifiziert Risiken von Kombinationen aus privaten Daten, unzuverlässigem Inhalt und externen Kanälen. Gegenmaßnahmen, Szenarien und Implementierungsroadmap werden bereitgestellt.

OWASP Top 10 für Agent-Systeme: Trifecta-Modell
Advertisement 728x90

Sicherheit agenter Anwendungen: OWASP Top 10 und das tödliche Triade-Modell

Die Triade ist eine einfache Checkliste, um Risiken zu erkennen: vertrauliche Daten (Datenbanken, Geheimnisse), unvertraute Eingaben (Webinhalte, E-Mails) und ausgehende Kanäle (HTTP, E-Mail). Wenn alle drei Komponenten zusammenwirken, kann indirektes Prompt-Injektion zu Datenlecks führen. Strategie: Mindestens eine Verbindung unterbrechen oder starke Kontrollmechanismen implementieren.

  • Vertrauliche Daten: Just-in-time-Zugriff, kurzlebige Token, Datensparsamkeit.
  • Externe Kommunikation: Domain-Whitelists, DLP, menschliche Überprüfung bei Ausgangsaktionen.
  • Unvertraute Inhalte: Quellen-Kennzeichnung, Trennung von Daten und Steuerung, Policy-Gates.
  • Persistente Speicherung: TTLs, Vertrauensbewertung, Namensräume pro Mandant.

Prüfe bei jeder Überprüfung die Triade: Unbeschränkter Zugriff? Zeit zum Neuentwerfen.

OWASP Agentic Top 10: Risiken und Gegenmaßnahmen

ASI01 Zielmanipulation durch Agenten. Angriff: Indirekte Injektion über Tool-Ausgaben. Schutz: Policy-Gates, hohe-Belastungs-Approvals, Zielabweichungs-Logging, Quellen-Kennzeichnung.

Google AdInline article slot

ASI02 Missbrauch von Tools. Angriff: Bösartige Parameter in Abläufen. Schutz: Tool-Whitelists, Begrenzung des Schadensradius, Kettendurchdringungserkennung.

ASI03 Identitätsmissbrauch. Angriff: Token-Wiederverwendung, transitive Berechtigungen. Schutz: JIT-Token, aufgabebezogene Rechte, erneute Validierung.

ASI04 Lieferkette. Angriff: Beschreibungskompromittierung. Schutz: Versionsfixierung, Artefakt-Signatur, Quellen-Whitelists.

Google AdInline article slot

ASI05 Unerwartete RCE. Angriff: Eval-Injektion. Schutz: Ausführungsisolation, kein Netzwerkzugriff per Default, Trennung von Generierung und Ausführung.

Vertiefung: Bedrohungen durch Speicherung und Kommunikation

ASI06 Speicher-Vergiftung. Angriff: RAG-Vergiftung mit dauerhaften Folgen. Schutz: Mandanten-Segmentation, TTLs, Quarantäne-Rückgängigmachung.

ASI07 Inter-Agenten-Kommunikation. Angriff: Spoofing, Replay-Angriffe. Schutz: mTLS, Nachrichtensignatur, Nonce/Timestamps.

Google AdInline article slot

ASI08 Kaskadenfehler. Angriff: Fehlerpropagation. Schutz: Trennung von Planer und Ausführer, Circuit Breaker, Herkunftstracing.

ASI09 Menschliches Vertrauen. Angriff: Zustimmungsmangel. Schutz: Mehrstufige Approvals, mehrfache Bestätigungen.

ASI10 Rogue Agents. Angriff: Zielabweichung. Schutz: Abschaltmechanismen, Verhaltensbaselines, regelmäßige Reviews.

Einstiegspunkte: Benutzereingaben, RAG, Tools. Die Planung setzt Ziele, der Speicher baut Vertrauen, die Inter-Agenten-Kommunikation benötigt stabile Protokolle.

Praxisbeispiele aus der Produktion

Unternehmens-E-Mail/Dokumenten-Agent (ASI01–03,09).

Risiken: E-Mails als Anweisungen, Berechtigungswachstum, Operator-Bias.

Maßnahmen:

  • Lesen und Ausführen trennen.
  • Explizite Genehmigung für Ausgänge.
  • Handlungs-Herkunftstracing.

RAG-Agent mit Wissensdatenbank (ASI06,08).

Risiken: Unvertraute Datenzufuhr, schleichende Vergiftung.

Maßnahmen:

  • Vertrauensbewertung basierend auf Quelle.
  • TTLs und Rückgängigmachung.
  • Mandanten-Isolation.

Tool-Orchestrator (ASI02,04,05,07,10).

Risiken: Bösartige Tool-Aufrufe, Lieferkettenangriffe, Kaskaden.

Maßnahmen:

  • Whitelist pro Tool.
  • Herkunftsnachweise.
  • Quoten und Policy-Gates.

Umsetzungsroadmap

Phase 1: Inventur (Triade-Audit), Sperre von Ausgängen, Logging aktivieren.

Phase 2: Policy-Gates, JIT-Token, hohe-Belastungs-Approvals.

Phase 3: Speichersegmentierung, Herkunftstracing, Incident-Response (Abschaltmechanismen).

Dieser schrittweise Ansatz reduziert Risiken ohne vollständigen Neubau.

Wichtige Erkenntnisse

  • Die Triade bricht tödliche Ketten: mindestens einen Faktor minimieren.
  • OWASP Top 10 zielt auf die Übergänge von Daten zu Anweisung zu Aktion ab.
  • Injektionsdetektoren sind Zusatzfeatures – Architektur ist König.
  • Herkunftstracing und Anomalieerkennung sind Pflicht bei Kaskaden.
  • Verhaltensbaselines und Abschaltmechanismen bewältigen rogue Agents.

— Editorial Team

Advertisement 728x90

Weiterlesen